Comment afficher et regarder le journal du pare-feu sous Mac OS X
Les utilisateurs qui ont activé le pare-feu dans Mac OS X peuvent trouver utile d'afficher, de lire et de surveiller les journaux associés au pare-feu du système. Comme vous pouvez vous y attendre, les journaux du pare-feu de l'application vous montrent les applications et les processus qui ont tenté de se connecter au Mac, y compris les connexions acceptées et refusées.
Il existe plusieurs façons de visualiser et de surveiller le pare-feu sous OS X. Nous vous montrerons comment le faire avec une simple application graphique ainsi qu'en ligne de commande.
Notez que si vous avez activé le mode furtif ou si vous bloquez chaque tentative de connexion entrante, le journal de votre pare-feu sera probablement différent, voire carrément nul, pour certains types de connexions. De même, si vous avez désactivé le pare-feu, vous ne verrez rien non plus, simplement parce qu'il n'y a pas de pare-feu pour enregistrer les connexions. De plus, si vous êtes derrière un pare-feu matériel comme celui que l'on trouve dans un routeur ou un réseau wi-fi typique, les données du journal de votre pare-feu seront différentes de celles d'une machine ouverte au monde entier.
Lecture des journaux du pare-feu avec l'application Console sous Mac OS X
Le moyen le plus simple pour la plupart des utilisateurs de lire et de visualiser les journaux du pare-feu sous OS X est l'application générale de visualisation des journaux appelée Console :
- Appuyez sur Commande+Barre d'espacement pour faire apparaître Spotlight et tapez "Console", puis appuyez sur Retour sur l'application Console pour lancer l'application (elle se trouve dans /Applications/Utilitaires/ si vous souhaitez la lancer manuellement)
- Dans le menu de gauche de la liste des journaux, regardez sous la section "Fichiers" et cliquez sur le triangle à côté de /var/log pour ouvrir cette liste de journaux
- Sélectionnez "appfirewall.log" dans la liste des journaux de la barre latérale pour charger le journal du pare-feu dans le panneau droit de la console
Voici un bref exemple d'activité du journal du pare-feu de la console
Nov 2 11:14:31 Retina-MacBook-Pro socketfilterfw [311] :> : kdc : Autoriser TCP LISTEN (in:0 out:2)
Nov 5 14:58:33 Retina-MacBook-Pro socketfilterfw [311] :> : launchd : Autoriser TCP LISTEN (in:0 out:1)
Nov 5 14:58:33 Retina-MacBook-Pro socketfilterfw [311] :> : launchd : Autoriser TCP LISTEN (in:0 out:1)
Nov 5 15:57:52 Retina-MacBook-Pro socketfilterfw [311] :> : launchd : Autoriser TCP LISTEN (in:0 out:2)
Nov 9 16:43:41 Retina-MacBook-Pro socketfilterfw [311] :> : iTunes : Autoriser TCP LISTEN (in:0 out:1)
Nov 12 11:32:57 Retina-MacBook-Pro socketfilterfw [311] :> : iTunes : Autoriser TCP LISTEN (in:0 out:1)
Nov 18 11:37:49 Retina-MacBook-Pro socketfilterfw [311] :> : iTunes : Autoriser TCP LISTEN (in:0 out:1)
Nov 18 21:28:43 Retina-MacBook-Pro socketfilterfw [320] :> : AppleFileServer : Autoriser TCP CONNECT (in:2 out:0)
:>:>:>:>:>:>:>:>
Le journal du pare-feu affiché dans la console se met à jour au fur et à mesure que de nouvelles connexions sont établies, autorisées et rejetées.
Regarder les journaux du pare-feu depuis la ligne de commande
Depuis la ligne de commande, vous disposez de plusieurs méthodes pour lire et regarder le journal du pare-feu sous OS X. Si vous souhaitez simplement consulter le journal existant tel quel et non lorsqu'il est mis à jour avec de nouvelles données de connexion, vous pouvez utiliser cat ou plus dans Terminal app :
plus /var/log/appfirewall.log
Vous pouvez ensuite naviguer dans le journal comme d'habitude avec les touches fléchées et revenir. Sortez plus souvent lorsque vous avez fini de consulter le journal du pare-feu.
Pour suivre une version actualisée du journal du pare-feu, utilisez plutôt tail -f, comme ceci :
tail -f /var/log/appfirewall.log
L'utilisation de la queue est similaire à l'observation du journal du pare-feu à partir de l'application console dans l'interface graphique, sauf bien sûr que vous êtes dans le terminal d'OS X à la place.